目次
このページのトピック
Container Security

よくある質問

Container Security

API呼び出しで「401 Unauthorized」というメッセージが表示されるのはなぜですか?

通常、これはContainer Securityでリクエストを認証するためのAPIキーを作成していないためです。

Trend Cloud One APIキーの作成と使用に関する情報は、APIキーのヘルプを参照してください。

レガシーAPIキー(非推奨)の作成と使用に関する情報については、Workload Security APIキーのヘルプを参照してください。

Container Security では、Kubernetesクラスタへの受信ネットワークアクセスが必要ですか?

Container Security は現在、受信ネットワークアクセスを必要とせず、受信ファイアウォールルールに追加するための追加のIPアドレスも必要ありません。アドミッションコントローラーからの通信は、HTTPSポート443を介したアウトバウンド-initiated のみです。

送信トラフィックを制限する場合、インターネットとの通信にどのURLを許可する必要がありますか。

Trend Cloud One(<region>Trend Cloud One リージョンです):

  • https://container.<region>.cloudone.trendmicro.com

  • https://iot.container.<region>.cloudone.trendmicro.com

ランタイムセキュリティ(Trend Cloud One リージョン の Endpoint を許可する):

  • 米国: https://sensor-components-prod-componentsstoragebucket-1tgz7758j5977.s3.amazonaws.com

  • インド: https://sensor-components-prod-componentsstoragebucket-4t1tmfipzmxq.s3.amazonaws.com

  • 英国: https://sensor-components-prod-componentsstoragebucket-177dw039ojo4z.s3.amazonaws.com

  • 日本: https://sensor-components-prod-componentsstoragebucket-a1g8t8ve13ql.s3.amazonaws.com

  • ドイツ: https://sensor-components-prod-componentsstoragebucket-dt9l26kxtrha.s3.amazonaws.com

  • オーストラリア: https://sensor-components-prod-componentsstoragebucket-mqamem5enf3f.s3.amazonaws.com

  • カナダ: https://sensor-components-prod-componentsstoragebucket-1lllr5j8i7dmf.s3.amazonaws.com

  • シンガポール: https://sensor-components-prod-componentsstoragebucket-x75mv7yqzt9.s3.amazonaws.com

ランタイム脆弱性スキャン(Trend Cloud One リージョンのエンドポイントを許可する):

  • 米国: https://asaas-scan-upload-us-east-1-prod.s3.us-east-1.amazonaws.com

  • インド: https://asaas-scan-upload-ap-south-1-prod.s3.ap-south-1.amazonaws.com

  • 英国: https://asaas-scan-upload-eu-west-2-prod.s3.eu-west-2.amazonaws.com

  • 日本: https://asaas-scan-upload-ap-northeast-1-prod.s3.ap-northeast-1.amazonaws.com

  • ドイツ: https://asaas-scan-upload-eu-central-1-prod.s3.eu-central-1.amazonaws.com

  • オーストラリア: https://asaas-scan-upload-ap-southeast-2-prod.s3.ap-southeast-2.amazonaws.com

  • カナダ: https://asaas-scan-upload-ca-central-1-prod.s3.ca-central-1.amazonaws.com

  • シンガポール: https://asaas-scan-upload-ap-southeast-1-prod.s3.ap-southeast-1.amazonaws.com

トレンドマイクロ Artifact Scanner (エンドポイントを Trend Cloud One リージョン に許可する):

  • 米国:

    • https://artifactscan.us-1.cloudone.trendmicro.com

    • https://cli.artifactscan.cloudone.trendmicro.com

    • https://asaas-scan-upload-us-east-1-prod.s3.us-east-1.amazonaws.com

    • https://asaas-scan-vuln-us-east-1-prod.s3.us-east-1.amazonaws.com

  • インド:

    • https://artifactscan.in-1.cloudone.trendmicro.com

    • https://cli.artifactscan.cloudone.trendmicro.com

    • https://asaas-scan-upload-ap-south-1-prod.s3.ap-south-1.amazonaws.com

    • https://asaas-scan-vuln-ap-south-1-prod.s3.ap-south-1.amazonaws.com

  • 英国:

    • https://artifactscan.gb-1.cloudone.trendmicro.com

    • https://cli.artifactscan.cloudone.trendmicro.com

    • https://asaas-scan-upload-eu-west-2-prod.s3.eu-west-2.amazonaws.com

    • https://asaas-scan-vuln-eu-west-2-prod.s3.eu-west-2.amazonaws.com

  • 日本:

    • https://artifactscan.jp-1.cloudone.trendmicro.com

    • https://cli.artifactscan.cloudone.trendmicro.com

    • https://asaas-scan-upload-ap-northeast-1-prod.s3.ap-northeast-1.amazonaws.com

    • https://asaas-scan-vuln-ap-northeast-1-prod.s3.ap-northeast-1.amazonaws.com

  • ドイツ:

    • https://artifactscan.de-1.cloudone.trendmicro.com

    • https://cli.artifactscan.cloudone.trendmicro.com

    • https://asaas-scan-upload-eu-central-1-prod.s3.eu-central-1.amazonaws.com

    • https://asaas-scan-vuln-eu-central-1-prod.s3.eu-central-1.amazonaws.com

  • オーストラリア:

    • https://artifactscan.au-1.cloudone.trendmicro.com

    • https://cli.artifactscan.cloudone.trendmicro.com

    • https://asaas-scan-upload-ap-southeast-2-prod.s3.ap-southeast-2.amazonaws.com

    • https://asaas-scan-vuln-ap-southeast-2-prod.s3.ap-southeast-2.amazonaws.com

  • カナダ:

    • https://artifactscan.ca-1.cloudone.trendmicro.com

    • https://cli.artifactscan.cloudone.trendmicro.com

    • https://asaas-scan-upload-ca-central-1-prod.s3.ca-central-1.amazonaws.com

    • https://asaas-scan-vuln-ca-central-1-prod.s3.ca-central-1.amazonaws.com

  • シンガポール:

    • https://artifactscan.sg-1.cloudone.trendmicro.com

    • https://cli.artifactscan.cloudone.trendmicro.com

    • https://asaas-scan-upload-ap-southeast-1-prod.s3.ap-southeast-1.amazonaws.com

    • https://asaas-scan-vuln-ap-southeast-1-prod.s3.ap-southeast-1.amazonaws.com

テレメトリ: https://telemetry.deepsecurity.trendmicro.com

デフォルトコンテナレジストリ: https://public.ecr.aws

ポリシーの作成時に正規表現はサポートされますか?

最初のリリースでは、イメージのレジストリ、名前、およびタグに「次を含む」および「で始まる」というキーワードがサポートされています。これにより、基本的な正規表現のインタフェースが提供されます。

Kubernetesクラスタごとに独自のアドミッションコントローラが必要ですか?

はい。Kubernetesクラスタにはそれぞれ独自のアドミッションコントローラが必要です。必要に応じて、必要な複製をスケーリングできます。初期設定は1です。

アドミッションコントロールWebフックの検証により、 Container Security でコンテナの設定が変更されますか?

いいえ。ポリシー定義で配信要求が許可または拒否されている場合にのみ検証されます。

検証フェーズ中にkubectl apply -f <...>が実行されるとき、Admission ControllerはContainer Securityをクエリしますか? もしそうなら、各クエリにローカルキャッシュが使用されていますか?

はい。アドミッションコントローラは、 kubectl create または kubectl applyのどちらを実行する場合でも、Kubernetesで確認要求が発生するたびに Container Security にクエリを実行します。

ポリシーを常に最新の状態にするために、クエリまたはポリシーでローカルキャッシュが使用されていません。

初期設定では、kube-system名前空間からのレビュー要求は Container Securityに転送されません。詳細については、 アドミッションコントローラのyamlファイルを参照してください。

Container Security のテレメトリの用途アドミッションコントロールから送信されるデータの種類

データ収集とテレメトリの詳細については、「 Container Security Data Collection」を参照してください。

Trend Cloud Oneへの接続が失敗した場合、管理者は検証プロセスの問題について通知されますか?もしそうなら、どのように通知され、Notificationsは設定可能ですか?

アラートは発令されませんが、24時間操作がないとクラスタページに警告アイコン(警告アイコン)が表示され、アドミッションコントローラにエラーログが記録されます。また、クラスタでログの出力先を設定することもできます。これにより、のログソリューションをKubernetesと統合できます。

Trend Cloud One が応答しない場合は、failurePolicy プロパティを変更して、何が起こるかを設定することもできます。デフォルトでは、failurePolicy は Ignore に設定されており、Trend Cloud One にアクセスできない場合でもアドミッションリクエストが許可されます。failurePolicy を FAIL に設定すると、アドミッションリクエストは失敗します。

Admission Controller のレプリカ数はいつ増やすべきですか?

大規模な環境では、同時に多くのアドミッションリクエストが発生する可能性があるため、アドミッションコントローラーのレプリカ数を増やすことを検討してください。アドミッションリクエストは、ポッドがレプリカ数をスケールする場合や、新しい展開が発生する場合などに発生します。

複数のコンテナを持つポッドを例外に追加する方法?

複数のコンテナを持つポッドは、内部のすべてのコンテナに対して例外を設定する必要があります。Container Security は、要求されたすべてのコンテナがポリシールールに違反していないか、例外条件を満たしていない場合にのみ許可要求を許可します。

ポッドがネットワークアクセスから隔離されないのはなぜですか?

コンプライアンスポリシーまたはRuntimeルールでIsolateアクションを使用している場合、保護されたリソースが実行されているKubernetesクラスターにはKubernetesネットワークポリシーが有効になっている必要があります。Kubernetesネットワークポリシーを有効にするには、helm chart READMEに記載されているガイドを使用してNetworkPolicyサポートを持つネットワークプラグインをインストールしてください。

脆弱性ビューに脆弱性が表示されないのはなぜですか?

手順については、ランタイム脆弱性検索のトラブルシューティング を参照してください。

クラスタに複数の検索ツールをインストールできますか?

クラスタごとに1つの検索ツールのみを含めることをお勧めします。このようなツールを複数同時に実行すると、両方のツールが互いのポッドを継続的に検索するという予期しない動作が発生する可能性があるためです。この状況を回避できない場合は、オーバーライドファイルに以下を追加することで、他の検索ツールの名前空間をContainer Security検索から除外できます。 

cloudOne:
    exclusion:
        namespaces: [list, of, namespaces]
また、 Container Securityをインストールした名前空間を他の検索ツールによる検索から除外することをお勧めします。

脆弱性Scannerポッドの最大同時実行数を増やす必要があるのはどのような場合ですか?

大規模なクラスターは、クラスターのリソースをより多く使用してスキャン結果を迅速に得るために、脆弱性検索ツールポッドのデフォルトの最大同時実行数を増やすことで恩恵を受けることができます。Scannerポッドの同時実行数制限は、クラスタ内でのContainer Securityのリソース使用量を制限することを目的としています。例えば、同時実行数制限が5に設定されている場合、最大5つのユニークなイメージを同時にスキャンすることができます。Scannerポッドの同時実行数制限の変更は、オーバーライドファイルを通じて行うことができます

cloudOne:
    scanManager:
        maxJobCount: 15
脆弱性Scannerポッドの同時実行数数の上限を引き上げる場合は、追加のScannerポッドを処理するのに十分なリソースがクラスタにあることを確認してください。各Scannerポッドの初期設定のリソース要件は、ヘルムチャート で指定されます。

プライベートGoogle Kubernetes Engine (GKE) クラスタ に制限はありますか。

アドミッションWebhookを使用するには、プライベートGKEクラスタにVirtual Private Cloudネットワークファイアウォールルールが追加で必要です。マスターの送信元IP範囲からTrend Micro addmission controller pod へのトラフィックを許可するファイアウォールルールを追加する方法については、特定の使用例に対するファイアウォールルールの追加を参照してください。

トレンドマイクロ admission controller pod にはポート 8443 が有効になっています。次の例は、ファイアウォール Rule を追加するために使用する gcloud コマンドを示しています

gcloud compute firewall-rules create "allow-apiserver-to-admission-webhook-8443" \ --action ALLOW \ --direction INGRESS \ --source-ranges ${CONTROL_PLANE_RANGE} \ --rules tcp:8443 \ --description="Allow apiserver access to admission webhook pod on port 8443" \ --target-tags ${TARGET}